Una estrategia para la ciberseguridad

El desarrollo del ciberespacio, entendido como el conjunto de infraestructuras de tecnologí­as de la información, Internet, redes y sistemas de la información y de telecomunicaciones, presenta una serie de riesgos y amenazas que se materializan en la ejecución de ciberataques caracterizados por su bajo coste (recursos fácilmente accesibles o gratuitos), fácilmente ejecutables (sin necesidad de grandes conocimientos técnicos y desde cualquier lugar), de gran efectividad e impacto y reducido riesgo para el atacante (facilidad de ocultación y marco legal disperso o inexistente). Para hacer frente a esta situación en diciembre de 2013 se aprobó la Estrategia de Ciberseguridad Nacional. Por su interés publicamos en este artí­culo un resumen del documento cuyo propósito es fijar unas directrices generales para el uso seguro del ciberespacio que garantice la seguridad y el progreso nacional. Se basa en un liderazgo y coordinación asumida por el Presidente del Gobierno; en una responsabilidad compartida entre agentes públicos, privados con responsabilidades en la materia y la implicación de los ciudadanos en la ciberseguridad; en un principio de proporcionalidad, racionalidad y eficacia en la gestión de los riesgos para proporcionar confianza en las TIC y evitar trabas al desarrollo de nuevos servicios y finalmente en la cooperación internacional para la adopción de medidas eficaces. Si bien se trata de alcanzar un objetivo global, hacer un uso seguro de las TIC fortaleciendo las capacidades de defensa, detección y respuesta a los ciberataques; se definen estos otros seis objetivos siguientes: Garantizar que todos los sistemas TIC de las Administraciones Públicas tienen el nivel adecuado de ciberseguridad y resiliencia. Impulsar la seguridad de los sistemas TIC en el sector empresarial...

Dispositivos móviles y comunicaciones seguras (y V)

  Con este artí­culo finalizamos la serie de publicaciones respecto a la seguridad en las comunicaciones móviles haciendo referencia a la telefoní­a de 2G y 3G, respecto 4G no lo consideraremos debido a su escasa penetración y limitada cobertura actual. La telefoní­a móvil 2G se basa en el estándar GSM (Global System for Mobile communications) desarrollado por la CEPT (Conference Européene des Administrations des Postes et Telécommunications) que posibilita comunicaciones puno a punto (fax, mensajes SMS). Con la incorporación de los protocolos GPRS (General Packet Radio Service) y EDGE (Enhanced Data Rates for GSM Evolution) permite el acceso a Internet constituyendo ya un sistema digital donde se trata de garantizar la seguridad y privacidad de las comunicaciones mediante algoritmos criptográficos para la autenticación de usuarios y cifrado de las comunicaciones, obteniendo velocidades de transmisión de hasta 236 Kbps. Para incrementar la velocidad en la transmisión de datos se desarrolla la 3G a partir del estándar UMTS (Universal Mobile Telecommunications System) por el grupo 3GPP (3rd Generation Partnership Project) como una evolución del estándar GSM. Con la incorporación de los protocolos HSDPA (High Speed Downlink Packet Access), HSUPA (High Speed Uplink Packet Access) y HSPA+ (HSPA Evolucionado) se llegan alcanzar velocidades de hasta 42 Mbps. Por último aparece 4G desarrollado por 3GPP y basado en LTE-Advanced (Long Term Evolution Advanced) basado exclusivamente en la conmutación de paquetes con velocidades de 250 Mbps-1 Gbps. La seguridad en 2G es prácticamente inexistente, los protocolos GSM, GPRS y EDGE presentan múltiples vulnerabilidades y los algoritmos de cifrado están actualmente superados siendo objeto de diversos ataques. Ataques de escucha pasiva para la interceptación, escucha de...

Dispositivos móviles y comunicaciones seguras (IV)

La tecnología Wi-Fi permite la comunicación inalámbrica entre dispositivos en un rango de 1 a 250 m., variando según se realice la comunicación en interiores o al aire libre, a través de Internet mediante un punto de acceso o directamente entre los propios dispositivos utilizando redes de comunicaciones especí­ficas o Wi-Fi Direct (estándar mediante el cual uno de los dispositivos pasará a ser el punto de acceso). Se pueden desplegar redes Wi-Fi abiertas sin mecanismos de seguridad o redes seguras bajo autenticación y cifrado basadas en los protocolos WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) y WPA2. Hasta el momento el protocolo más seguro es el WPA2 que presenta dos modalidades, redes de tipo empresarial y de tipo personal. Además pueden ser visibles u ocultas, en este caso para poder efectuar la conexión es necesario conocer el nombre de la red. Hay que tener en cuenta que las conexiones se van almacenando en la PNL (Preferred Network List) del dispositivo para facilitar conexiones automáticas y rápidas posteriormente. Es evidente que una de las mayores amenazas en las comunicaciones Wi-Fi proviene de las conexiones a redes públicas abiertas, tan prolí­ficas en la actualidad y disponibles en aeropuertos, hoteles, autobuses, centros públicos, etc., en las que los mecanismos de seguridad son prácticamente inexistentes, carecen de métodos de autenticación y cifrado e imposibilidad de supervisión y control de la conexión por el propietario del dispositivo, arriesgándose a ataques de suplantación de red, denegación de servicio, inyección de tráfico o captura de datos. Igualmente las redes WEP se pueden considerar inseguras puesto que los mecanismos de cifrado en los que se basan...

Dispositivos móviles y comunicaciones seguras (III)

La tecnología Bluetooth permite la comunicación entre dispositivos móviles, sin necesidad de utilizar cables y conectores entre ellos, mediante la creación de redes inalámbricas que permiten la sincronización de datos. Se diseñó para dispositivos de bajo consumo y corto alcance de emisión basados en transceptores (dispositivos en los que el transmisor y el receptor comparten componentes e infraestructura) de bajo coste. Por tanto la comunicación se establece entre los dispositivos directamente sin el requisito de infraestructura o red de datos previa. Basándose en una topologí­a piconet en la que un dispositivo (gestor o maestro) se puede conectar hasta 7 dispositivos adicionales (esclavos) y considerando que un dispositivo puede pertenecer a una scatternet (conjunto de varias piconet), la tecnologí­a Bluetooth permite la conexión simultánea de múltiples dispositivos. La comunicación se establece mediante un proceso de emparejamiento de los dispositivos, que se identifican a través de una dirección fí­sica y que les permite configurarse en un modo visible o en modo oculto, en este caso el dispositivo no puede ser identificado por el resto. El emparejamiento se realiza a través de una contraseña común (PIN) que les posibilita la autenticación y el cifrado de datos y la comunicación se establece mediante tres fases. Fase de descubrimiento o inquiry donde un dispositivo conoce la existencia de otro; fase de conexión o paging , se establece la comunicación con el otro dispositivo y la primera vez que se establece esta comunicación incluye el emparejamiento; finalmente el descubrimiento de servicios y capacidades para la identificación de perfiles y funcionalidades. Los servicios Bluetooth se basan en unos perfiles que suministran unas capacidades o funcionalidades de comunicación...

Dispositivos móviles y comunicaciones seguras (II)

La tecnologí­a NFC permite y proporciona la transmisión e intercambio de datos de forma inalámbrica entre dispositivos móviles próximos, en un rango de hasta 20 cm., de forma casi instantánea y sin necesidad de emparejamiento entre ellos. Entre sus usos más comunes destacan los de sistema de pago, recogida e intercambio de datos o automatización de tareas. NFC funciona de dos modos diferentes. Modo activo en el que los dos dispositivos generan un campo electromagnético e intercambian datos y modo pasivo en el que sólo un dispositivo está activo generando el campo electromagnético y el otro recibe la alimentación del campo activo para la transferencia de datos; en este caso el iniciador de la comunicación es el encargado de crear el campo electromagnético. Como sistema de pago NFC posibilita el pago por proximidad sin necesidad de utilizar tarjetas de crédito, débito o disponer de efectivo. Al aproximar el dispositivo al TPV compatible NFC los datos de la tarjeta, almacenados en la tarjeta SIM del dispositivo o el monedero virtual, como Google Wallet o Vodafone Wallet, se transfieren al TPV completándose la transacción. Los terminales TPV compatibles que se pueden disponer en la actualidad son Visa payWay, MasterCard PayPass o American Express WPay. La tecnología NFC también se puede utilizar para el intercambio de datos mediante la simplificación de los mecanismos de conexión basados en protocolos complejos. En el caso de dispositivos Samsung, a través de la aplicación S-Beam, NFC permite conexión Wi-Fi directa, sin necesidad de punto de acceso inalámbrico intermedio, para el intercambio de ficheros multimedia u otros. Igualmente en BlackBerry, Windows Phone 8 y Android ICS la tecnologí­a NFC posibilita...

Dispositivos móviles y comunicaciones seguras (I)

Es tal la importancia que han adquirido los dispositivos móviles que parece que fuera imposible el desarrollo de cualquier actividad sin la utilización de los mismos. Se han hecho imprescindibles tanto en el ámbito de las comunicaciones personales como en el entorno empresarial; así­ lo demuestra el dato, bastante significativo, que en el año 2013 habí­a 6800 millones de lí­neas móviles activas (la población mundial es de 7100 millones de personas). Las comunicaciones inalámbricas constituyen la base de la conexión de los dispositivos móviles que, soportadas por distintas tecnologí­as, utilizan como medio de comunicación el aire y quedan expuestas a vulnerabilidades y riesgos de seguridad. En estos momentos las tecnologías inalámbricas disponibles son NFC (Near Field Comunication), utilizada para comunicaciones de corta distancia y con aplicaciones para pagos a través del móvil. Bluetooth para conexiones entre dispositivos móviles o con otros dispositivos fijos. Wi-Fi (Wireless Fidelity) que permite el acceso a Internet sin consumir ancho de banda. GSM (Global System for Mobile communications), GPRS (General Packet Radio Services), de segunda generación (2G), EDGE (Enhanced Data Rate for GSM Evolution) puente entre 2G y 3G, UMTS (Universal Mobile Telecommunications System) 3G y LTE (Long Term Evolution) de 4G para acceso a Internet, llamadas telefónicas y tráfico de mensajes SMS. En posteriores artículos publicaremos las medidas de seguridad y protección correspondientes a las distintas tecnologías inalámbricas. No obstante y de forma general, conviene tener en cuenta una serie de recomendaciones de seguridad, sea cual sea la tecnologí­a que se trate, para aplicar las medidas de protección de los dispositivos móviles. Como norma inhabilitar la interfaz de comunicación del dispositivo que no se...